Redazione RHC : 13 Ottobre 2022 08:00
Autore: Alessandro Molinari
Tramite gli strumenti specifici per le analisi forensi è possibile recuperare molti files che presumibilmente sono stati cancellati da un sistema informatico.
Il data carving tratta esattamente questo e se vogliamo veramente eliminare del tutto determinati files dobbiamo fare un ulteriore sforzo.
![]() CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Lo strumento di “data carving” per eccellenza ( “intagliatore di dati” letteralmente ma per l’amore delle nostre orecchie evitiamo di tradurlo in Italiano), è Scalpel, in grado di rilevare molti file con diverse estensioni e formati.
Non importa con quale filesystem sia stato formattato il disco: Scalpel utilizza un database con headers e footers (di cui ogni file è dotato) utile per tracciarli.
Molte distribuzioni hanno nei loro repository versioni precedenti di Scalpel che svolgono bene il loro lavoro, ma non hanno tutte le funzionalità dell’attuale versione 2.0, come le regular expressions” per gli headers ed i footers, il multithreading, l’input/output asincroni o data-carving accelerata dalla GPU (solo se è installato l’SDK CUDA di NVidia).
Tuttavia se si desidera utilizzare queste funzionalità, è necessario compilare Scalpel dal codice sorgente.
In passato, i data carvers scansionavano i dischi alla ricerca di modelli di headers e footers e scrivevano tutti i risultati su un nuovo supporto, il che richiedeva molto spazio di archiviazione.
Scalpel, invece, si limita a controllare due volte il disco per mettere insieme tutte le informazioni necessarie.
La prima volta che si esegue Scalpel, cerca gli headers e memorizza i risultati in un database; quindi, identifica i footers (di cui ogni file è dotato). Nel fare ciò, Scalpel tiene sempre conto della logica che un header è sempre seguito da un footer, accelerando così la ricerca.
A questo punto si dispone di un indice con le posizioni degli headers e dei footers, che costituisce la base per la seconda esecuzione. Di seguito Scalpel confronta gli headers ed i footers e scrive i file trovati direttamente in una nuova posizione dalla memoria, senza dover accedere nuovamente al disco.
Prima di iniziare la ricerca dei dati perduti, Scalpel legge il file di configurazione scalpel.conf
Prima di iniziare il processo di ricerca, è opportuno effettuare alcune configurazioni che limitino la ricerca a un numero minimo di tipi e dimensioni di file.
Fonte: https://hackerhood.redhotcyber.com/data-carving/
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e l...
In un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
La frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...